Descripción de Junos OS en modo FIPS
Los estándares federales de procesamiento de información (FIPS) 140-2 definen los niveles de seguridad para hardware y software que realizan funciones criptográficas. Al cumplir con los requisitos generales aplicables dentro del estándar FIPS, los dispositivos QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5210-64C y EX4650-48Y de Juniper Networks que ejecutan el sistema operativo Junos de Juniper Networks (Junos OS) en modo FIPS cumplen con el estándar FIPS 140-2 nivel 1.
Operar los dispositivos en un entorno FIPS 140-2 de nivel 1 requiere habilitar y configurar el modo FIPS en los conmutadores desde la CLI de Junos OS.
Crypto Officer habilita el modo FIPS en Junos OS y configura claves y contraseñas para el sistema y otros usuarios de FIPS que pueden ver la configuración.
Para obtener información sobre el cumplimiento normativo de Common Criteria y FIPS para productos de Juniper Networks, consulte el Asesor de cumplimiento de Juniper Networks.
Acerca del límite criptográfico en el conmutador de las series EX y QFX
El cumplimiento de FIPS 140-2 requiere un límite criptográfico definido alrededor de cada módulo criptográfico de un conmutador. Junos OS en modo FIPS impide que el módulo criptográfico ejecute cualquier software que no forme parte de la distribución certificada por FIPS y solo permite usar algoritmos criptográficos aprobados por FIPS. Ningún parámetro crítico de seguridad (CSP), como contraseñas y claves, puede cruzar el límite criptográfico del módulo en formato no cifrado.
Para los conmutadores de las series EX y QFX de Juniper Networks que están certificados en FIPS-140-2 nivel 1, el límite criptográfico del módulo viene determinado por el tipo de chasis. Para obtener una lista de conmutadores certificados por FIPS y el límite criptográfico de cada conmutador, consulte la tabla 1.
Interruptor |
Tipo de chasis |
Límite criptográfico |
|---|---|---|
| EX4650-48Y | Configuración fija con dos módulos de expansión |
Estuche del conmutador |
| QFX5120-32C QFX5120-48T QFX5120-48Y |
Configuración fija con dos módulos de expansión |
Estuche del conmutador |
QFX5210-64C |
Configuración fija con dos módulos de expansión |
Estuche del conmutador |
Las características de Virtual Chassis no se admiten en el modo FIPS. No configure un Virtual Chassis en modo FIPS.
En qué se diferencia el modo FIPS del modo no FIPS
A diferencia de Junos OS en modo no FIPS, Junos OS en modo FIPS es un entorno operativo no modificable. Además, Junos OS en modo FIPS difiere de Junos OS en modo no FIPS:
Las autopruebas de todos los algoritmos criptográficos se realizan al inicio.
Las autopruebas de generación de números aleatorios y claves se realizan continuamente.
Los algoritmos criptográficos débiles, como Data Encryption Standard (DES) y Message Digest 5 (MD5) están deshabilitados.
No se deben configurar conexiones de administración débiles o sin cifrar.
Las contraseñas deben cifrarse con algoritmos unidireccionales fuertes que no permitan el descifrado.
Las contraseñas de administrador deben tener al menos 10 caracteres.
Versión validada de Junos OS en modo FIPS
Para determinar si una versión de Junos OS está validada por NIST, consulte la página de descarga de software en el sitio web de Juniper Networks (https://www.juniper.net/) o en el sitio del Instituto Nacional de Estándares y Tecnología.